ラック、標的型攻撃の情報収集解析ツールを開発--被害PCを特定、時系列で解析

NO BUDGET 2016年09月06日 18時46分

  • このエントリーをはてなブックマークに追加

 ラックは、同社が運営する大規模な標的型攻撃事案への緊急対応サービス「サイバー119」の対応強化を目指した「インシデント対応ツール(仮)」のプロトタイプを完成させた。標的型攻撃の脅威にさらされた組織の端末情報を収集、解析するためのもので、同社の研究開発部門であるサイバー・グリッド・ジャパンが中心となって開発を進めてきた。9月1日に発表した。

 サイバー119は、年間350件を超える緊急対応を通じ、標的型攻撃を受けた多くの組織には遠隔操作ウイルスのような高度に作り込まれた不正なソフトウェアが仕込まれてしまい、攻撃の被害は企業ネットワークの深部にまで及んでいることを確認しているという。

 攻撃者は、狙い定めた企業への侵入に一度成功すると、攻撃の痕跡を隠蔽しながら、内部での感染拡大や情報収集、情報持ち出しなどの活動を継続しており、場合によってはグループ関係組織や取引先にまで攻撃が波及することも確認されている。

 このような高度な攻撃を受けた場合、インターネットとの境界で不審な外部通信を監視することに加えて、組織内の端末から必要な情報を収集した上で総合的に解析し、脅威の発見とその対処、原因調査、被害拡大の防止を行うことが求められる。

 しかし、実際の緊急対応では、ほとんどの組織で端末の情報を収集できる仕組みが導入されていないため、脅威の発見が遅れて事案の収束に時間がかかるケースが多いという。

 そこでラックは、このような大規模な標的型攻撃事案への緊急対応を強化すべく、蓄積してきた経験を活用した新たな端末情報収集解析ツールとしてインシデント対応ツールの開発に着手し、今回その基本的な機能部分の実装を完了した。今後はいくつかの組織で検証して機能改善を図る方針で、2016年末をめどに緊急対応現場での本格的な活用を開始し、より迅速かつ的確な事案対応を実現していくと説明している。ツールの特徴は以下の通り。

要件説明
自動実行プログラムの精査OS起動時など自動的に起動されるプログラムの状況をフォレンジック調査の観点で深く分析できるようにする。ウイルスと侵入されたPCを迅速かつ正確に特定、事実も解明できると説明。過去のインシデント対応で得た知見を活用して痕跡チェックや脅威検知を迅速に実現できるようにする
検知後の調査分析組織全体の包括的な分析をベースとし、特定のPCで発見した不正な事象の精査からそのPC以外の影響範囲や脅威の関連性について一連での分析ができるようにする。ログを受け取った後でも被害組織から追加でログが届くことを想定し、分析できるようにする
被害組織の環境にあわせたログ取得ログ取得では、被害組織の負担をできるだけ少なくする。それにより、システム環境や突発的な事情によるログ取得漏れの状況を極力なくす仕組みにする
複数PCを対象にしたタイムライン解析ウイルス感染後の組織内の横断的侵害について、手口の解明を従来よりもスムーズにするため、フォレンジック調査の肝とも言えるタイムライン解析を単体PCだけでなく、複数台も対象にして追跡調査できるようにする

 ツールの開発背景や概要については、サイバー・グリッド・ジャパンが発行する情報誌「CYBER GRID JOURNAL Vol.1」で取り上げられている。

 同誌では、経営層やマネジメント層の方をはじめ、これまでサイバーセキュリティなどの情報にあまり触れる機会のなかった層を対象に、その時々のセキュリティやIT関連の話題を提供するほか、最先端の課題に取り組む研究者の技術的知見や情報モラルに関する啓発活動の取り組みなど、幅広い情報をできるだけわかりやすく発信していくとしている。

 創刊号では「伊勢志摩サミットとサイバーセキュリティ」を特集。5月下旬に三重県で開催された主要国首脳会議(伊勢志摩サミット)で「サイバー」についても議論が交わされたが、ビッグイベント開催を契機にサイバー空間を取り巻く状況の変化を振り返り、概説した上で公開されている日本のセキュリティ政策を読み解き、組織が備えるべき対策の方向性を提言している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]